インテルは、複数のNUCキットモデル向けのファームウェアアップデートをリリースしました。このアップデートは、攻撃者が権限昇格、サービス拒否(DoS)攻撃、または情報漏洩に悪用する可能性のある、深刻度の高いバグを修正するものです。同じBIOSファームウェアを搭載したインテル コンピュート カードとコンピュート スティックも影響を受けます。
- インテル NUC キット NUC7i7DNx
- インテル NUC キット NUC7i5DNx
- インテル NUC キット NUC7i3DNx
- インテル コンピュート スティック STK2MV64CC
- インテル コンピュート カード CD1IV128MK
インテルはここ数ヶ月、NUCデバイスにおける複数の重大度の高いセキュリティ欠陥を修正する必要に迫られています。4月には、権限昇格やサービス拒否攻撃を引き起こす可能性のあるセキュリティ欠陥を修正し、6月にはファームウェアの複数のバグを修正する必要がありました。
インテル、プロセッサ識別ユーティリティの重大度の高いバグを修正
もう 1 つの脆弱性 (CVE-2019-11163) は、ユーザーが所有するプロセッサの種類と仕様を簡単に識別できるように Intel がユーザーに無料で提供しているツールである Intel のプロセッサ識別ユーティリティに影響を与えました。
このバグの深刻度は10点満点中8.2点とさらに高く、これはソフトウェアのハードウェア抽象化ドライバーにおけるアクセス制御が不十分なためです。この脆弱性は、6.1.0731より前のバージョンのソフトウェアに存在します。Intelによると、このバグにより「認証されたユーザーがローカルアクセスを介して権限昇格、サービス拒否、または情報漏洩を行える可能性がある」とのことです。
インテルのコンピュータ改善プログラムも影響を受ける
インテルのコンピュータ改善プログラムは、コンピューター所有者が参加することで、インテルのプロセッサの改良や問題の検出に協力できるプログラムです。このプログラムには、上記の他のバグと同様に、権限昇格、サービス拒否、情報漏洩を引き起こす可能性のあるバグ(CVE-2019-11162)が含まれていました。
インテルは次のように述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
「バージョン 2.4.0.04733 より前の Intel Computing Improvement Program 用 SEMA ドライバーのハードウェア抽象化におけるアクセス制御が不十分なため、認証されたユーザーがローカル アクセスを介して権限の昇格、サービス拒否、または情報漏洩を実行できる可能性があります。」
研究者はインテル製品のセキュリティ問題を発見し続けている
これらすべてのセキュリティホールが発見されたのは、Intel が「SWAPGS」と呼ばれる新しい Spectre クラスのバグに対処しなければならなかった時期でした。このバグは、これまでのすべての Spectre 緩和策を回避できるものでした。
より多くのセキュリティ研究者がIntelのプロセッサとファームウェアに注目するにつれ、少なくとも短期的には、Intel製品におけるセキュリティ問題の数が増加するはずです。数年前までは、そうした試みをする研究者は多くありませんでした。しかし、Intelがサポートする製品は10年以上も前から存在するため、近い将来には多くのバグが見つかるはずです。
長期的には、インテルはハードウェアとソフトウェアの両方のセキュリティを強化し、研究者によるインテル製品の研究が強化されても次世代製品にセキュリティホールが見つかる可能性が低くなるようにするのが賢明だろう。
